Toon posts:

[Linux] Publieke Internet daemons beveiligen dmv chroot?

Pagina: 1
Acties:

donderdag 22 april 2004 12:26

Acties:

Verwijderd

Topicstarter
Ik heb een Gentoo based firewall draaien met daarop een 2tal P2P clients (I know zwaar verboden, maar dit is de enige 24x7 uptime machine bij mij thuis). Aangezien ik deze clients niet echt vertrouw, heb ik 1 van de 2 (mldonkey) als een restricted user in een chroot jail draaien. Met de andere (giFT) ben ik nog bezig om deze te chrooten.

Volgens de 'boeken' moet chroot'en een stuk veiliger zijn. Alleen denk ik zelf dat een chroot uitstel van executie is. Als er al iemand door de deamon laag is gebroken ben je volgens mij ook zo uit chroot. Ik heb nu 2 vragen aan security kenners:

1. Wat is de beste manier om een chroot jail op te zetten? Ik denk aan configuratie van de daemon en de access tot libraries welke niet meer bestaan voor het chrooted proces. Is er een eenduidige manier om een deamon chroot ready te maken?
2. Zijn er andere manieren om een daemon veilig in een chroot achtige omgeving te laten draaien. Misschien zelfs zo ver als een virtual machine in een DMZ om zodoende 'onveilige' processen te containeren (is geen nederlands woord m.g.)

Ik zou graag inzichten en ideen krijgen om zo mijn systeem een beetje beter te beveiligen. Vooral giFT, welke ik nog niet chrooted krijg zou ik graag iets meer dichttimmeren.

donderdag 22 april 2004 12:40

Acties:
  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 23-12-2025

Guru Evi

Een echte hacker geraakt overal. Chroot is al een hele goede stap in de richting van beveiliging. Wat er precies kan binnen de chroot hangt af van uw instellingen. Ik zou in ieder geval de deamons runnen als een gebruiker die een shell en home directory /dev/null heeft.
Verder goede paswoord encryptie, shadow, regelmatig veranderen, tripwire, Snort (die regelmatig gecheckt wordt), LogWatch. Dan nog zien dat je niets anders draait die dan wel onveilig is, iptables goed instellen, regelmatig updates, SATAN, SAINT of Nessus uitproberen, Nmap leren gebruiken, SUID's nakijken.
Voor de paranoia heb je dan nog SELinux. Dan heb je nog eens verdere beyond ACL producten (gratis en betalend) waardoor je een gebruiker root-rechten kunt geven en de root alle rechten kunt afnemen en natuurlijk monitoring en backups.

Pandora FMS - Open Source Monitoring - pandorafms.org

donderdag 22 april 2004 12:57

Acties:

Verwijderd

chroot bied maar een bepaalde hoeveelheid extra security. Zodra een user root rechten weet te verkrijgen in de chroot, is het snel met de chroot afgelopen. Hiertegen zijn wel een aantal mogelijk beveiligings methodes. Een daarvan is gebruik maken van de grsecurity patch, die een aantal gevaarlijke eigenschappen van chroot kan disablen in de kernel. Ook is het mischien een idee om eens te gaan kijken naar user-mode linux of mogelijke alternatieven voor chroot (was er niet al een bsd jail achtig iets voor linux?)

Om een daemon te laten draaien in een chroot omgeving zul je de omgeving die die daemon nodig heeft moeten repliceren in de chroot. Hiervoor kun je tools als lsof gebruiken, om te achterhalen welke libraries en files de daemon nodig heeft @ runtime. Ook is het een idee om mbv strace te achterhalen welke files ge'open()'t worden door de daemon. Deze zijn wellicht niet met de lsof output te achterhalen, maar heb je wel nodig om de daemon op te starten.
Voor de paranoia heb je dan nog SELinux. Dan heb je nog eens verdere beyond ACL producten (gratis en betalend) waardoor je een gebruiker root-rechten kunt geven en de root alle rechten kunt afnemen en natuurlijk monitoring en backups.
Een alternatief voor SELinux is wellicht RSBAC. Hierbij heb je dezelfde mogelijkheden als SE, maar zonder de complexiteit en de sponsoring van de NSA ;)

[ Voor 19% gewijzigd door Verwijderd op 22-04-2004 13:10 ]

donderdag 22 april 2004 13:20

Acties:

Verwijderd

Je moet een chroot sowieso nooit met root rechten draaien en ook opletten dat je geen file descriptors in je chroot hebt die meer rechten op kunnen leveren. Dan wordt het uit een chroot breken erg moeilijk (zo niet onmogelijk). Dus de veiligheid van je chroot hangt ook af van hoe je de applicatie hebt ge-chroot.

Verder zou je grsec kernel patches kunnen gebruiken, want daar zitten wat opties in die een chroot verker kunnen versterken. Kom je wel een beetje in de paranoia zone, maar zeker interessant.

Ik neem aan dat je sowieso geen lokale gebruikers op je firewall hebt (als in andere users behalve jijzelf)?

[edit]
hmm, r3boot was net ff sneller.

[ Voor 4% gewijzigd door Verwijderd op 22-04-2004 13:21 ]

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq